View a markdown version of this page

Condividi i tuoi servizi tramite AWS PrivateLink - Amazon Virtual Private Cloud
Panoramica diHostname DNSDNS privatoSottoreti e zone di disponibilitàCross-Region accessoTipi di indirizzi IP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi i tuoi servizi tramite AWS PrivateLink

Puoi ospitare il tuo servizio AWS PrivateLink personalizzato, noto come servizio endpoint, e condividerlo con altri AWS clienti.

Indice

Panoramica di

Il diagramma seguente mostra come condividi il servizio ospitato AWS con altri AWS clienti e come questi clienti si connettono al tuo servizio. In qualità di provider di servizi, crea un Network Load Balancer nel tuo VPC come front-end del servizio. Seleziona quindi il load balancer durante la configurazione del servizio endpoint VPC. Concedi l'autorizzazione a principali AWS specifici in modo che possano connettersi al servizio. In qualità di utente del servizio, il consumatore crea un endpoint VPC dell'interfaccia che stabilisce connessioni tra le sottoreti selezionate dal proprio VPC e il servizio endpoint. Il load balancer riceve le richieste dagli utenti del servizio e le instrada alle destinazioni che lo ospitano.

Gli utenti del servizio si connettono ai servizi endpoint ospitati dai provider di servizi.

Per una bassa latenza e una disponibilità elevata, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità.

Hostname DNS

Quando un provider di servizi crea un servizio endpoint VPC, AWS genera un nome host DNS specifico dell'endpoint per il servizio. Questi nomi sono caratterizzati dalla sintassi seguente:

endpoint_service_id.region.vpce.amazonaws.com

Di seguito è riportato un esempio di un nome host DNS per un servizio endpoint VPC nella regione us-est-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Quando un utente del servizio crea un endpoint VPC dell'interfaccia, vengono generati i nomi DNS regionali e zonali che l'utente può utilizzare per comunicare con il servizio endpoint. I nomi regionali sono caratterizzati dalla sintassi seguente:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

I nomi zonali sono caratterizzati dalla sintassi seguente:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privato

Un provider di servizi può inoltre associare un nome DNS privato al proprio servizio endpoint, in modo che gli utenti del servizio possano continuare ad accedere al servizio utilizzando il nome DNS esistente. Se un provider di servizi associa un nome DNS privato al servizio endpoint, gli utenti del servizio possono abilitare i nomi DNS privati per gli endpoint di interfaccia. Se un provider di servizi non abilita il DNS privato, gli utenti del servizio potrebbero dover aggiornare le proprie applicazioni per utilizzare il nome DNS pubblico del servizio endpoint VPC. Per ulteriori informazioni, consulta Gestione dei nomi DNS.

Sottoreti e zone di disponibilità

Il servizio endpoint è disponibile nelle zone di disponibilità abilitate per il Network Load Balancer. Per un'elevata disponibilità e resilienza, ti consigliamo di abilitare il sistema di bilanciamento del carico in almeno due zone di disponibilità, di distribuire istanze EC2 in ciascuna zona abilitata e di registrare queste istanze con il gruppo target del sistema di bilanciamento del carico.

Puoi abilitare il bilanciamento del carico tra zone come alternativa all'hosting del servizio endpoint in più zone di disponibilità. Tuttavia, i consumatori perderanno l'accesso al servizio endpoint da entrambe le zone in caso di guasto della zona che ospita il servizio endpoint. Tieni inoltre presente che quando abiliti il bilanciamento del carico tra zone per un Network Load Balancer, vengono applicati i costi di trasferimento dati EC2.

Il consumatore può creare endpoint VPC di interfaccia nelle zone di disponibilità in cui è disponibile il servizio endpoint. Creiamo un'interfaccia di rete endpoint in ogni sottorete che il consumatore configura per l'endpoint VPC. Vengono assegnati indirizzi IP a ogni interfaccia di rete dell'endpoint dalla relativa sottorete, in base al tipo di indirizzo IP dell'endpoint VPC. Quando una richiesta utilizza l'endpoint regionale per il servizio endpoint VPC, selezioniamo un'interfaccia di rete endpoint sana, utilizzando l'algoritmo round robin per alternare le interfacce di rete in diverse zone di disponibilità. Quindi trasferiamo il traffico verso l'indirizzo IP dell'interfaccia di rete dell'endpoint selezionata.

Il consumatore può utilizzare gli endpoint zonali per l'endpoint VPC se per il suo caso d'uso è preferibile mantenere il traffico nella stessa zona di disponibilità.

Cross-Region accesso

Un fornitore di servizi può ospitare un servizio in una regione e renderlo disponibile in una serie di regioni supportate. Un consumatore di servizi seleziona una regione di servizio durante la creazione di un endpoint.

Permissions

  • Per impostazione predefinita, le entità IAM non sono autorizzate a rendere disponibile un servizio endpoint in più regioni o ad accedere a un servizio endpoint in più regioni. Per concedere le autorizzazioni necessarie per l'accesso tra più regioni, un amministratore IAM può creare policy IAM che consentano l'azione solo in base alle autorizzazioni. vpce:AllowMultiRegion

  • Per controllare le regioni che un'entità IAM può specificare come regione supportata durante la creazione di un servizio endpoint, utilizza la chiave condition. ec2:VpceSupportedRegion

  • Per controllare le regioni che un'entità IAM può specificare come regione di servizio durante la creazione di un endpoint VPC, utilizza la ec2:VpceServiceRegion chiave condition.

Considerazioni

  • Un provider di servizi deve aderire a una regione con consenso esplicito prima di aggiungerla come regione supportata per un servizio endpoint.

  • Il servizio endpoint deve essere accessibile dalla regione ospitante. Non è possibile rimuovere la regione host dal set di regioni supportate. Per motivi di ridondanza, puoi distribuire il servizio endpoint in più regioni e abilitare l'accesso interregionale per ogni servizio endpoint.

  • Un consumatore di servizi deve aderire a una regione opzionale prima di selezionarla come regione di servizio per un endpoint. Ove possibile, consigliamo agli utenti del servizio di accedere a un servizio utilizzando la connettività interregionale anziché la connettività interregionale. Intra-Region la connettività offre una latenza inferiore e costi inferiori.

  • Se un fornitore di servizi rimuove una regione dal set di regioni supportate, gli utenti del servizio non possono selezionare tale regione come regione di servizio quando creano nuovi endpoint. Tieni presente che ciò non influisce sull'accesso al servizio endpoint dagli endpoint esistenti che utilizzano questa regione come regione del servizio.

  • Per un'elevata disponibilità, i provider devono utilizzare almeno due zone di disponibilità. Cross-Region l'accesso non richiede che fornitori e consumatori utilizzino le stesse zone di disponibilità.

  • Cross-Region l'accesso non è supportato per le seguenti zone di disponibilità: use1-az3usw1-az2,apne1-az3,apne2-az2, eapne2-az4.

  • Con l'accesso interregionale, AWS PrivateLink gestisce il failover tra zone di disponibilità. Non gestisce il failover tra le regioni.

  • Cross-Region l'accesso non è supportato per i Network Load Balancer con un valore personalizzato configurato per il timeout di inattività TCP.

  • Cross-Region l'accesso non è supportato con la frammentazione UDP.

  • Cross-Region l'accesso è supportato solo per i servizi tramite cui condividi. AWS PrivateLink

Tipi di indirizzi IP

I provider di servizi possono rendere i propri endpoint di servizio disponibili agli utenti tramite IPv4, IPv6 o entrambi, anche se i server back-end supportano solo IPv4. Se si abilita il supporto dualstack, gli utenti esistenti possono continuare a utilizzare IPv4 per accedere al servizio, mentre i nuovi utenti possono scegliere di utilizzare IPv6.

Se un endpoint VPC dell'interfaccia supporta IPv4, le interfacce di rete dell'endpoint presentano indirizzi IPv4. Se un endpoint VPC dell'interfaccia supporta IPv6, le interfacce di rete dell'endpoint presentano indirizzi IPv6. L'indirizzo IPv6 per un'interfaccia di rete dell'endpoint non è raggiungibile da Internet. Se si descrive un'interfaccia di rete dell'endpoint con un indirizzo IPv6, l'opzione denyAllIgwTraffic sarà abilitata.

Requisiti per abilitare IPv6 per un servizio endpoint

  • Il VPC e le sottoreti per il servizio endpoint devono disporre di blocchi CIDR IPv6 associati.

  • Tutti i Network Load Balancer per il servizio endpoint devono utilizzare il tipo di indirizzo IP dualstack. Le destinazioni non devono supportare il traffico IPv6. Se il servizio elabora gli indirizzi IP di origine dall'intestazione della versione 2 del protocollo proxy, deve elaborare gli indirizzi IPv6.

Requisiti per abilitare IPv6 per un endpoint dell'interfaccia

  • Il servizio endpoint deve supportare le richieste IPv6.

  • Il tipo di indirizzo IP di un endpoint dell'interfaccia deve essere compatibile con le sottoreti dell'endpoint dell'interfaccia, come descritto di seguito:

    • IPv4: consente di assegnare indirizzi IPv4 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4.

    • IPv6: consente di assegnare indirizzi IPv6 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono sottoreti solo IPv6.

    • Dualstack: consente di assegnare sia indirizzi IPv4 che IPv6 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4 e IPv6.

Tipo di indirizzo IP del record DNS per un endpoint dell'interfaccia

Il tipo di indirizzo IP del record DNS supportato da un endpoint dell'interfaccia determina i record DNS creati. Il tipo di indirizzo IP del record DNS di un endpoint dell'interfaccia deve essere compatibile con il tipo di indirizzo IP dell'endpoint dell'interfaccia, come descritto di seguito:

  • IPv4: consente di creare record A per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv4 o Dualstack.

  • IPv6: consente di creare record AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv6 o Dualstack.

  • Dualstack: consente di creare record A e AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere Dualstack.